มาตรฐาน Windows Server 2016... ผู้ใช้แผนก/กลุ่มได้รับข้อผิดพลาดในการอนุญาตการอ่านภายในโฟลเดอร์แผนก ให้สิทธิ์ในการควบคุมโฟลเดอร์และย่อยทั้งหมด จากนั้นจึงได้รับข้อผิดพลาดในการเขียน ("คุณต้องได้รับอนุญาตจาก ZPICTURES\admin-zp เพื่อทำการเปลี่ยนแปลง ไฟล์นี้") จากนั้นให้ผู้ใช้แต่ละรายในกลุ่มควบคุมโฟลเดอร์และย่อยได้อย่างสมบูรณ์ แต่ยังคงได้รับข้อความแสดงข้อผิดพลาดเดียวกันเมื่อพยายามเขียนหรือแก้ไขที่ใดก็ได้ภายใน ("คุณต้องได้รับอนุญาตจาก...")

ตอนนี้ฉันสับสนมากเนื่องจากการกำหนดค่านี้ทำงานบนโฟลเดอร์ของกลุ่มอื่น (อันที่จริงมีเพียงการควบคุมกลุ่มทั้งหมดแทนผู้ใช้ทั้งหมด) ฉันจะแก้ไขการกำหนดค่าการอนุญาตของกลุ่มนี้เพื่อให้ผู้ใช้ของกลุ่มมีสิทธิ์ในการเขียนได้อย่างไร

answer
  • เมื่อคุณเปลี่ยนการอนุญาต ผู้ใช้จำเป็นต้องออกจากระบบและเข้าสู่ระบบใหม่เพื่อให้การเปลี่ยนแปลงมีผล
  • ฉันจะแนะนำไม่ให้ควบคุมอย่างเต็มที่ ที่อนุญาตให้ผู้ใช้เปลี่ยนการอนุญาตและเป็นเจ้าของไฟล์ การแก้ไขสิทธิ์ควรเพียงพอสำหรับความต้องการของผู้ใช้ส่วนใหญ่ในการแบ่งปัน
  • ผู้ใช้รายอื่นสามารถล็อกไฟล์ได้หากเข้าถึงไฟล์เดียวกัน
  • ใน Windows Deny คือ Deny หากผู้ใช้ปฏิเสธไม่ว่าที่ใดก็ตามจากกลุ่มใด ๆ หรือการอนุญาตอย่างชัดแจ้ง จะถูกปฏิเสธสิทธิ์นั้น ไปที่การรักษาความปลอดภัย -> ขั้นสูง -> การอนุญาตที่มีประสิทธิภาพในไฟล์และดูว่ามีอะไรบอกคุณ

คุณได้รับการแนะนำให้รู้จักกับแนวคิดหลักของการอนุญาต NTFS ในคำตอบโดย @JBaldridge ด้านบนซึ่งไม่ได้เปลี่ยนแปลงอะไรมากตั้งแต่วันแรกๆ บนเซิร์ฟเวอร์ NTFS/Windows ฉันจะเพิ่มเพียงไม่กี่สิ่ง:

  • ระวังวิธีที่คุณเข้าถึงโฟลเดอร์ในเครื่องหรือผ่านเครือข่าย ในกรณีหลังคุณต้องคำนึงถึงการอนุญาตการแชร์ คุณต้องพิจารณาทั้งสิทธิ์แชร์และ NTFS: การเขียนในระดับ NTFS จะไม่อนุญาตให้คุณเขียนข้อมูลผ่านเครือข่ายเมื่อการอนุญาตแชร์เป็นแบบอ่านอย่างเดียว ให้คิดว่าสิทธิ์การแชร์เป็นช่องทางที่จะเข้ามาเล่นก็ต่อเมื่อเข้าถึงโฟลเดอร์ผ่านเครือข่ายเท่านั้น
  • ในกรณีที่การคำนึงถึงระดับการอนุญาตเป็นเรื่องยุ่งยากมากเกินไปสำหรับคุณ วิธีการที่ได้รับการทดสอบอย่างดีมักจะให้การควบคุมเต็มรูปแบบแก่ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ในระดับการแชร์ และปรับแต่งการอนุญาตของคุณในระดับ NTFS เท่านั้น ทำให้ชีวิตผู้ดูแลระบบง่ายขึ้นเล็กน้อย หากเพิ่งตรวจสอบสิทธิ์การแชร์เริ่มต้นในเซิร์ฟเวอร์ 2016 และให้การควบคุมทั้งหมดแก่ทุกคน + ผู้ดูแลระบบตามค่าเริ่มต้น
  • ย้ำอีกครั้ง: ปฏิเสธอย่างชัดเจนว่าชนะเสมอ ไม่ว่าคุณจะเพิ่มทุน/อนุญาตจำนวนเท่าใด
  • คำนึงถึงลำดับความสำคัญในการทำความเข้าใจการอนุญาต NTFS ที่มีประสิทธิภาพจะได้รับการประเมินในลำดับนี้และหยุดการประเมินในนัดแรก: 1) ปฏิเสธอย่างชัดแจ้ง 2) อนุญาตอย่างชัดแจ้ง 3) ปฏิเสธที่สืบทอดมา 4) อนุญาตที่สืบทอดมา

และสุดท้ายแต่ไม่ท้ายสุด ใช้ประโยชน์จากการเข้าถึงที่มีประสิทธิภาพ เพื่อตรวจสอบระดับการเข้าถึงเฉพาะผู้ใช้หรือกลุ่มที่มี มีให้สำหรับคุณในการตั้งค่าความปลอดภัยขั้นสูงสำหรับโฟลเดอร์ ดูภาพด้านล่างที่แสดง UI ของคุณลักษณะนี้ (ฉันเดาว่ารูปภาพน่าจะให้ความเข้าใจที่ดีเกี่ยวกับสิ่งที่คุณสามารถทำได้ด้วยคุณลักษณะนี้):

ใส่คำอธิบายภาพที่นี่